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Algumas Considerações sobre SPAM 





o O que é um SPAM ? 
- E-mail indesejado, contendo propaganda não 
solicitada 
» Por que pessoas odeiam SPAM ? 
a Porque eles enchem a caixa postal dos usuários 
com informações inuteis 
a Porque seu conteudo é de péssima qualidade 
a Porque eles consomem banda e sobrecarregam 
servidores de e-mail 
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Abordagens Possíveis para 
Combater SPAM 





6 Legislação apropriada 
a Problema: Cada país tem a sua legislação 
o Taxação para o envio de e-mails 


a Problema: Em qual moeda seria pago, para quem, 
isso resolveria o problema ? 


6 Uso de diversas técnicas nos servidores de e-mail 
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Dificuldades Encontradas para 
Combater o SPAM 





6 Os cabeçalhos das mensagens geralmente são falsos 
6 Uso de endereços IP dinâmicos (xDSL, dial-up) 


6 Muitas redes não tomam atitudes para prevenir e 
combater o SPAM gerado pelos seus usuários. Essas 
redes possuem usuários que utilizam o serviço de 
e-mail corretamente e usuários que utilizam para 
enviar SPAM 
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Algumas Técnicas Utilizadas 





o Técnicas de bloqueio: 
a Técnicas de bloqueio por cabeçalho da mensagem 
- Uso de greylisting 
- Técnicas de bloqueio por conteudo da mensagem 
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Técnicas de Bloqueio por Cabeçalho 





São técnicas implementadas geralmente no MTA (Mail 
Transport Agent) 


Algumas dessas técnicas podem ser implementadas 
individualmente no cliente de e-mail 


São compostas por: 
- Verificação da existência do domínio informado 


- Verificação da existência de um nome para o 
endereço IP do emissor 


a Listas externas - RBLs 
- Listas internas de acesso 
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Verificação do Dominio Informado 





o Verifica se o domínio do remetente existe 
6 Pode rejeitar e-mails de servidores mal configurados 


6 Bloqueia mensagens com cabeçalho falso (que 
tenham um domínio inexistente) 


ANÁLISE DE FERRAMENTAS PARA O CONTROLE DE SPAM — p.8/36 


Verificação de Nome para o 
Endereço IP do Emissor 





Verifica se existe um nome para o endereço IP que 
está enviando a mensagem 


Verifica se a partir do nome chega-se ao endereço IP 
Bloqueia muito SPAM 


Bloqueia e-mails legítimos 
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Listas Externas - RBLS 





6 Serviço mantido por terceiros 


6 Não permite um bloqueio de endereços individuais, 
bloqueia por endereço IP do servidor 


6 Não garante que todas as mensagens bloqueadas 
sejam SPAM 


6 Poucos provedores respondem por queixas de abusos 


RBL - Realtime Blackhole List 








http://www.mail-abuse.com/ 
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Listas Internas de Acesso 





São listas compostas por endereços IP, por CIDRs, por 
domínios ou por endereços especificos de e-mail 


Não utilizam nenhuma heurística ou método de 
análise estatística 
Não existe o problema do falso positivo (pelo menos 
em teoria) 
Essas listas são classificadas em: 
> Whitelist: mensagens oriundas de endereços 
contidos em uma whitelist são aceitas 
- Blacklist: mensagens oriundas de endereços 
contidos em uma blacklist são rejeitadas 
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Listas Internas de Acesso 





6 Possuem um gerenciamento manual ou automático, a 
partir de serviços externos 


© Pode-se criar listas individuais onde o usuário 
somente receberá e-mails de pessoas cadastradas 
nessas listas. Por exemplo, se João envia uma 
mensagem para Pedro e o endereço de João não está 
cadastrado, é necessário acessar um /ink e se 
cadastrar para ter sua mensagem aceita. Isso pode 
gerar problemas (nem todos os usuários aceitam) 
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Listas Internas de Acesso 





o Problema: estas listas não são dinâmicas, precisam 
ser gerenciadas 


- O tamanho dessas listas sempre cresce ? 
+ Quem irá gerenciar estas listas ? 


o Possivel solução: uso de greylisting 
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Técnicas de Bloqueio por Cabeçalho 





© Bloqueio em nível de servidor 
- É uma implementação que bloqueia a maior parte 
dos SPAMS, porém não pode bloquear e-mails legi 
timos 
a Deve ser genérico, não pode seguir características 
de apenas um grupo de usuários 


6 Bloqueio em nível de usuário 
- É uma implementação voltada às características do 
usuário 
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Greylisting 





Uso de whitelist e blacklist com manutenção 
automática 


Nem o administrador da rede nem os usuários 
precisam inserir os endereços IPs nas listas 


Reduz a carga no MTA 


Ajuda na filtragem de virus 
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Greylisting 





6 O filtro baseia-se no comportamento diferente dos 
servidores emissores de SPAM e servidores de 
e-mails tradicionals 


- Servidores de SPAM enviam somente uma vez a 
mensagem, se ocorreu um erro descartam. Se não 
descartassem, formariam filas gigantescas nesses 
servidores 


- Servidores tradicionais seguem a RFC 821 e 
reenviam a mensagem em caso de falha transiente 
(código de resposta 45x) 
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Greylisting - Spamd 





6 Sistema simples, baseado em triplas contendo: 


- Endereço IP do servidor de e-mail que está 
enviando a mensagem 


- Endereço do emissor do e-mail (from) 

- Endereço do receptor do e-mail (to) 

- Tempo tc de criação do registro 

- [empo tr para começar a receber o e-mail (30 min 
após o tempo de criação do registro) 

- Tempo te de expiração da tripla (4 horas após o 


tempo de criação do registro) 
GRE Y:10.0.0.1:<spamtospam. com>. <usuario@dominio> :tc:tr:te 
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Greylisting - Spamd 





Faz-se necessário o uso do filtro de pacotes (Packet 
Filter) para redirecionar os pacotes enviados à porta 25 
para uma outra porta (8025) onde roda o filtro 


Ao receber o e-mail o filtro verifica se o endereço IP do 
servidor emissor está na whitelist, se está, o e-mail é 
repassado para o MTA que está rodando na porta 25 


Verifica se o endereço IP do servidor emissor está em 
uma blacklist, se está, rejeita o e-mail 
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Greylisting - Spamd 





o Verifica se a tripla existe 


1. Se a tripla não existe, cria um novo registro e 
retorna uma falha temporária ao servidor emissor 


2. Se a tripla existe e o seu tempo tr para começar a 
receber não expirou, retorna uma falha temporária 
ao servidor emissor 

3. Se a tripla existe e o tempo tr expirou, então 
adiciona o endereço IP do servidor na whitelist e 
atribui um tempo de 36 dias para expiração. A tripla 
fica assim: WHITE:10.0.0.1:::tc:tr:te 
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Greylisting - Spamd 





Servidor de E-mail Local 





Mensagem Porta 8025 

—| SPAMD 
U 
R d Falha zæ 

CrvIGOr o = 
de E-mails Temporária z Ok 
Envio de 5 
Internet 3 Porta 25 
Mensagens ar 
MTA 
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Greylisting - Problemas 





Usuários impacientes podem ficar insatisfeitos 


As mensagens enviadas por servidores que não estão 
na whitelist levam algum tempo para chegar 


Alguns portais tipo hotmail por exemplo nem sempre 
reenviam a mensagem pelo mesmo servidor, fazendo 
com que a mensagem demore muito para chegar 


O uso de múltiplos MXs pode causar problema se 
cada servidor tiver as suas próprias listas. Corre-se o 
risco do mail ser barrado temporariamente multiplas 
vezes, uma para cada MX 
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Técnicas de Bloqueio por Conteúdo 





Os filtros por conteúdo classificam as mensagens 
através de uma análise do seu conteúdo 


O conteudo da mensagem é comparado com duas 
bases de dados que armazenam palavras 
consideradas boas(goodlist) e ruins (spamlist) 


As palavras tem um peso. O peso das palavras é 
atribuído durante o “treinamento” do filtro. Cada vez 
que o filtro é treinado o peso de cada palavra é 
modificado considerando o seu peso atual e o numero 
de vezes que a palavra apareceu no treinamento (a 
frequência da palavra) 
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Técnicas de Bloqueio por Conteúdo 





o Compara-se as palavras contidas na mensagem com 
essas duas bases (goodlist e spamlist) e atribui-se uma 
pontuação à mensagem 


6 Mensagens que receberam uma pontuação maior que 
uma taxa estipulada são classificadas como SPAM 
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Exemplo de Implementação 


Servidor de E-mail Local 


MTA PROCMAIL 


Mensagem . Spamlist | Spam 
EM PASTA-SPAM 


Ok 


CTA. USUÁRIO 
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Técnicas de Bloqueio por Conteúdo 





© Exemplos de filtros: 


à Bayesian Mail Filter 








htto://sourceforge.net/pvrojects/bmf 








aà Bogofilter 








htto://bogofilter.sourceforge.net/ 








a Quick Spam Filter 





http://www. ivarch.com/pvrograms/gsf.shtml 











à SpamAssassin 








http://www. spamassassin. org/ 
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Problemas dos Filtros por Conteúdo 





Barram muitas mensagens legítimas (falso positivo) 


Alguns SPAMS continuam incomodando (falso 
negativo) 


Os SPAMS utilizam sequências de palavras sem 
sentido para confundir o filtro 


Precisam ser treinados 


Funcionam melhor individualmente, porém cada 
usuário precisa treiná-lo 
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Experiências e Testes 





Foi utilizado o sistema operacional OpenBSD versão 3.5 


Como MTA foi utilizado O Postfix versão 2.0.19 


Para o filtro Greylisting utilizou-se o Spama, este faz 
parte do sistema OpenBSD 


Esses filtros podem ser implementados em qualquer 
sistema UNIX 


Cada tipo de filtro foi testado individualmente 


Criou-se uma configuração para utilizar os filtros em 
conjunto 
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Testes - Filtros por Conteudo 





o Os filtros foram treinados com 6374 mensagens. 
Foram aplicadas aos filtros 700 mensagens 
produzindo os resultados mostrados na tabela abaixo: 


tipos de falso falso acertos 
Bem ë |2 | 35 | 688, 
Bogofiter | 1 | 89 

2 





2 
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Testes - Filtros por Conteudo 





O BMF é um filtro rápido e apresentou resultados muito 
bons 


O Bogofilter é semelhante ao BMF em termos de 
velocidade mas não apresentou resultados tão bons 


O Quick Spam foi o mais rápido porém errou muito na 
classificação dos e-mails 


O filtro Spamassassin é computacionalmente muito 
pesado (utiliza uma vasta gama de testes de 
heurísticas) e não teve um alto índice de acerto 


Optou-se por utilizar o BMF como filtro auxiliar 
individual (opcional) 
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Testes Individuais 





6 (Como objetivo de verificar a eficiência dos filtros 
selecionados, efetuaram-se testes com cada um dos 
filtros individualmente. A tabela abaixo apresenta os 
resultados obtidos: 


filtro Mensagens | Falso | Falso | Indice 
filtradas pos. | neg. | acerto 


Spamd | 258581 | 0 | 90763 [6480% 


Regras MTA | 31316 | 8 | 2893 [9073% 
700 
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Testes em Conjunto 





o Para os testes em conjunto, além dos filtros anti-spam, 
utilizou-se o filtro anti-virus Clamav. A tabela abaixo 
apresenta os resultados obtidos da análise dos logs 
gerados durante oito dias consecutivos: 


filtro Mensagens | Mensagens | Mensagens 
recebidas | entregues | bloqueadas 


258531 | 136580 | 121951 


Regras MTA 136580 46428 90152 
46428 45803 625 
45803 44802 1001 
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Testes em Conjunto 





6 O índice de acerto dos filtros em conjunto foi de 
99.61% 


© Optou-se por uma configuração padrão que visa não 
perder mensagens autênticas (greylisting + regras de 
filtragem básicas no MTA + anti-vírus) 


6 Para usuários que desejam uma filtragem maior, 
pode-se instalar o BMF e aumentar o nível de filtragem 
para as regras no MTA 
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Problemas Enfrentados e Soluções 
Adotadas 





o Alguns usuários deixaram de receber e-mails por 
causa dos filtros mas ninguém ficou sabendo 
a Solução: por causa disso, desenvolveu-se shell 
scripts para geração de relatórios diários dos e-mails 
que foram rejeitados por cada filtro, por usuário 
- Lição que se tira: filtros silenciosos são um convite 
a problemas 
o Verificação de DNS reverso causa muitos falsos 
positivos 
a Solução: inclusão de determinados servidores em 
uma whitelist, mediante solicitação do usuário 
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Problemas Enfrentados e Soluções 
Adotadas 





6 Uma blacklist externa listou um servidor importante 
a Solução: desativar o uso daquela blacklist. 
Utilizávamos 6 blacklists externas e hoje utilizamos 
somente duas 
º O intervalo de tempo (tr e te) do Spamd (30 minutos e 
4 horas) não era suficiente para alguns servidores 
reenviarem a mensagem 
- Solução: ajustou-se o Spamd para utilizar tempos 
de (tr e te): 18 minutos e 26 horas 
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Conclusões 





É impossível bloquear 100% dos SPAMS 


O uso dos filtros em conjunto melhora bastante o 
indice de acerto do sistema 


Podemos dividir os usuários em três grupos: os que 
não se importam com SPAM, os que odeiam SPAM e 
os que não gostam mas não se importam em receber 
alguns SPAMs 
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Dúvidas? 





Obrigado! 


